Раздел: Документация

0 ... 2 3 4 5 6 7 8 ... 125

Все эти функциональные возможности дают определенные преимущества в плане гарантий безопасности, но в основном предназначены для увеличения производительности. Например, в результате переадресации и трансляции адреса удается скрыть внутренние IP-адреса от хакеров, что безусловно повышает безопасность. Чем меньшей информацией располагает потенциальный нарушитель, тем более сложной будет его работа. Но эти же возможности служат администратору при распределении нагрузки среди нескольких компьютеров. Благодаря трансляции адреса вам не понадобится запрашивать большой диапазон адресов IP для всех серверов и рабочих станций в вашей сети.

Здесь начинаются джунгли!

Internet - это потрясающее, но не слишком дружелюбное место. Со временем, по мере появления новых стандартов и технологий, ситуация может измениться. Но на этапе быстрого роста Сети будут постоянно возникать новые проблемы с технологиями и людьми, как это всегда происходит в процессе освоения новых рубежей. Так как в Internet попадаются люди отнюдь не с благими намерениями, вам следует быть в курсе текущих вопросов безопасности при подключении своей сети к Internet.

г--------.....~™~~.........

Подробное описание проблем безопасности вы найдете в главе 3.

\ : )

Неприятности, с которыми вы уже, возможно, сталкивались, например компьютерные вирусы, после подключения к Internet усугубятся. Теперь вы поневоле будете не только беспокоиться о том, чтобы кто-либо из сотрудников не занес вирус на дискете, но и проверять файлы, присоединенные к сообщениям электронной почты, и загруженные демоверсии программ. Если раньше сотрудники могли злоупотреблять электронной почтой коллег по работе и всячески досаждать им, то теперь они могут делать то же самое практически по отношению к любому человеку, подключенному к Internet. Если прежде от вас не требовался жесткий контроль содержимого дисков рабочих станций и серверов компании с целью предотвращения появления на них предосудительных материалов, например порнографии, текстов, пропагандирующих насилие и т.д., то после подключения к Internet такой контроль, несомненно, станет необходимым!

Межсетевой экран и внутренняя политика безопасности

Прежде чем приниматься за разработку стратегии безопасности брандмауэра, следует сесть и подумать, что и как вы собираетесь защищать. Если ваша компания достаточно велика, она должна иметь собственную политику безопасности. Вам

---

МЕЖСЕТЕВОЙ ЭКРАН И ВНУТРЕННЯЯ ПОЛИТИКА БЕЗОПАСНОСТИ 19

*

стоит принять ее в качестве отправной точки. Затем, обсудив этот вопрос с пользователями или менеджерами, вы сможете заключить, каким службам будет разрешено работать через межсетевой экран.

вы найдете более подробную информацию о создании политики безопасности в главе 4.

детальное описание основных служб tcp/ip см. в главе 2.

Результаты анализа этих служб и их потенциальной опасности помогут вам определить, какие из них необходимы для работы.

Новые угрозы безопасности

При подключении к Internet вы столкнетесь с проблемами безопасности на новом уровне, и они будут вас преследовать постоянно, если не принять адекватных мер предосторожности. В то время как раньше надлежало беспокоиться лишь об ошибках, совершенных неопытными пользователями, или о преднамеренном нарушении безопасности недовольными сотрудниками, теперь вы оказываетесь потенциальной жертвой любого хакера в мире!

Каждые несколько месяцев вы будете узнавать о новом вирусе, «троянском коне» или «черве», распространяющемся в Internet. Для вас, наверное, не секрет, что в мире полно талантливых программистов, тратящих месяцы и годы на разработку новой вредоносной программы или подготовку к взлому сайта. Ведь сделать это не столь уж и сложно. Многие ужасные истории, о которых вы слышали, происходили не в результате работы «хитрой» Программы, а благодаря эксплуатации известных брешей в системе безопасности распространенных операционных систем и приложений.

Несколько лет назад Дэн Фармер (Dan Farmer) и Вейтц Венема (Wietse Venema) написали статью о том, как знание методов взлома позволяет более надежно защитить сайт («Improving the Security of Your Site by Breaking Into It»). В этой статье авторы приводят примеры использования хакерами обычных системных утилит и программ для получения информации о вашей сети и компьютерах в ней. Они также описывают ряд особенностей программ, например программы sendmail, которые в прошлом применялись для взлома. Хотя некоторые уязвимые места, упомянутые в публикации, уже устранены за счет выпуска исправлений и обновленных версий программ, по прочтении этой статьи вы получите представление о вещах, о которых раньше, возможно, не задумывались. Большинство действующих в настоящее время операционных систем первоначально было разработано и установлено на отдельных компьютерах или в небольших сетях. С годами сетевые функции добавлялись и совершенствовались, но в операционных системах все еще существует множество особенностей, которые не предполагали работу в такой среде, как современный Internet.

---

Где найти эту статью?

Статья Фармера и Венема «lmproving the Security of Your Site by Breaking Into lt» доступна на множестве сайтов. Вы можете найти ее копию при помощи поисковой системы, задав в качестве параметров поиска имена авторов. Я настоятельно рекомендую прочитать эту статью каждому, кто связан с вопросами сетевой безопасности.

Выбор доступных пользователям служб

С чего лучше начать планирование политики безопасности для сети? Во-первых, определите, какие службы должны быть доступны пользователям. Подключение сети к Internet уже само по себе означает, что оно должно каким-то образом использоваться. Чем вызвана необходимость подключения? Какую выгоду это принесет? Какие проблемы возникают при попытке обеспечить нужды пользователей?

Причиной подключения компании к Internet становится желание располагать некоторыми из типичных возможностей, такими как:

О электронная почта - для обмена корреспонденцией с поставщиками и клиентами;

О удаленный доступ - для обращения к ресурсам локальной сети компании извне;

О поддержка исследований - обеспечение взаимодействия технического персонала с коллегами в других компаниях и учреждениях;

О поддержка клиентов - возможность просмотра клиентами документации к продукту и другой литературы, что уменьшает нагрузку на службу поддержки;

О техническая поддержка - получение доступа (в качестве клиента) к документации, размещенной производителем в Internet;

О торговля и маркетинг - организация электронной торговли и маркетинга продукции компании в Internet.

В зависимости от того, что из перечисленного выше относится к вашей ситуации, вы можете для удовлетворения потребностей пользователей вприменять различные комбинации следующих служб:

О FTP. С помощью протокола передачи файлов (File transfer protocol) исследовательская группа обменивается файлами с другими сайтами. Доступ клиентов к файлам или документации обеспечивает анонимный (anonymous) FTP;

О Telnet. Эта служба может быть использована сотрудниками группы поддержки пользователей для удаленного входа на компьютер пользователя с целью диагностики проблемы. Применяется также при удаленном администрировании сети;

О WW"/. Сервер WWW обеспечивает присутствие компании в Internet. Вы будете сообщать клиентам на корпоративном Web-сайте о выходе новых

0 ... 2 3 4 5 6 7 8 ... 125